WO2023083170A1

WO2023083170A1 - 密钥生成方法、装置、终端设备及服务器

Info

Publication number: WO2023083170A1
Application number: PCT/CN2022/130581
Authority: WO
Inventors: 粟栗; 田野; 何申; 黄静; 米秀明; 姜文姝
Original assignee: 中国移动通信有限公司研究院; 中国移动通信集团有限公司
Priority date: 2021-11-10
Filing date: 2022-11-08
Publication date: 2023-05-19
Also published as: CN116108458A

Abstract

本申请提供了一种密钥生成方法、装置、终端设备及服务器。该方法包括：在执行与网络侧设备的身份认证后，生成第一会话密钥，并根据所述第一会话密钥为连接所述第一设备的至少一终端生成对应的第一终端会话密钥；向第一服务器发送第一业务请求，其中所述第一业务请求中包括所述终端的终端标识。采用该方法，通过为连接第一设备的终端生成对应的终端会话密钥，不同终端可以生成不同的终端会话密钥，从而建立不同的安全通道，实现不同终端之间数据的安全隔离，提高终端及全系统数据传输的安全性。

Description

密钥生成方法、装置、终端设备及服务器

相关申请的交叉引用

本申请基于申请号为202111328972.X、申请日为2021年11月10日的中国专利申请提出，并要求该中国专利申请的优先权，该中国专利申请的全部内容在此引入本申请作为参考。

技术领域

本申请涉及安全技术领域，尤其是指一种密钥生成方法、装置、终端设备及服务器。

背景技术

为了满足4G/5G时代海量物联网/行业终端的网络接入需求，通常可采用移动无线网关(Mobile WiFi，MiFi)设备为不支持(U)SIM卡、不支持4G/5G网络接入的物联网/行业终端提供信号覆盖，使其具备访问网络云端数据应用的能力。

移动无线网关是一个集调制解调器、路由器和接入点三者功能于一身的便携式宽带无线装置。移动无线网关支持(U)SIM卡，一方面可通过4G/5G Uu接口无线信号接入蜂窝网络，实现上网，另一方面具备近距离无线组网能力，可以对外提供WiFi信号覆盖，支持其他多种终端WiFi接入并共享这一4G/5G网络连接，从而实现分级分层的网络接入。

为了解决低配置终端业务数据传输的安全问题，安全接入网关(或移动无线网关)以设备本地支持的(U)SIM卡作为初始信任凭据，通过利用4G/5G蜂窝网络通用认证机制(General Bootstrapping Architecture，GBA)安全认证及密钥协商能力，在安全接入网关与各种应用服务器之间建立业务级端到端安全传输通道，对物联网/行业终端与应用服务器间交互的数据进行透明加密传输，从而保障终端的安全接入以及数据的传输安全。

此架构中，安全接入网关作为4G/5G网络终端接入运营商蜂窝网络并访问物联网/行业应用服务器。在安全接入网关与网络基于GBA安全机制完成双向身份认证并协商好GBA会话密钥之后，应用服务器利用网络侧应用服务器(Network Application Function，NAF)网元提供的GBA会话密钥与安全接入网关建立起端到端的GBA安全传输通道。此时，安全接入网关可以通过该通道将底层各种物联网/行业终端的上下行数据安全地传输给应用服务器。

现有技术中，对于一个业务来说，安全接入网关与业务间的安全通道是唯一的，无法对不同物联网/行业终端的数据实现安全隔离，应用服务器无法对每一个数据的来源进行细粒度的认证，也无法对不同底层终端的数据进行独立的加密保护。一旦系统中某个物联网/行业终端遭受攻击并成为受控节点，那么攻击者很有可能利用此安全防护弱点对接入同一安全接入网关的其他底层终端和业务应用发起攻击，致使整个系统面临严重的安全风险。

发明内容

本申请技术方案的目的在于提供一种密钥生成方法、装置、终端设备及服务器，用于解决现有技术移动接入网关与应用服务器之间的安全通道唯一，易遭受安全攻击，系统存在严重安全风险的问题。

本申请实施例提供一种密钥生成方法，应用于第一设备，其中，所述方法包括：

在执行与网络侧设备的身份认证后，生成第一会话密钥，并根据所述第一会话密钥为连接所述第一设备的至少一终端生成对应的第一终端会话密钥；

向第一服务器发送第一业务请求，其中所述第一业务请求中包括所述终端的终端标识。

较佳地，所述的密钥生成方法，其中，所述生成第一会话密钥包括：

根据与网络侧设备的身份认证过程中生成的第二会话密钥，生成所述第一会话密钥。

根据与网络侧设备的身份认证过程中生成的第二会话密钥，生成第三会话密钥；

根据所述第三会话密钥，生成所述第一会话密钥。

较佳地，所述的密钥生成方法，其中，在生成第三会话密钥之后，所述方法还包括：

向第二服务器发送包含业务事务标识的第二业务请求；

接收所述第二服务器返回的响应。

较佳地，所述的密钥生成方法，其中，所述第二业务请求用于指示所述第二服务器向网络侧设备获取第三会话密钥，第三会话密钥是由网络侧设备在与第一设备身份认证后根据第二会话密钥生成的。

较佳地，所述的密钥生成方法，其中，据所述第一会话密钥为连接所述第一设备的至少一终端生成对应的第一终端会话密钥，包括：

根据所述第一会话密钥、每一所述终端的终端标识、每一所述终端的终端类型、第一服务器的全限定域名FQDN、随机数、数据传输方向中的至少之一，采用预设密钥生成算法，生成对应每一所述终端的第一终端会话密钥。

较佳地，所述的密钥生成方法，其中，所述第一业务请求中还包括所述终端的终端类型、业务事务标识和密钥生成相关参数中的至少之一。

较佳地，所述的密钥生成方法，其中，所述密钥生成相关参数包括所述第一服务器的全限定域名FQDN、随机数以及数据传输方向中的至少之一。

本申请实施例还提供一种密钥生成方法，应用于第一服务器，其中，所述方法包括：

接收第一设备发送的第一业务请求，所述第一业务请求中包括连接所述第一设备的至少一终端的终端标识；

根据所述终端标识为所述终端生成相应的第一终端会话密钥。

较佳地，所述的密钥生成方法，其中，所述根据所述终端标识为所述终端生成相应的第一终端会话密钥，包括：

向网络侧设备请求获取第一会话密钥；

根据所述第一会话密钥和所述终端标识，为所述终端生成相应的第一终端会话密钥。

较佳地，所述的密钥生成方法，其中，根据所述终端标识为所述终端生成相应的第一终端会话密钥，包括：

向第二服务器发送信息获取请求；

接收所述第二服务器返回的第一会话密钥；

较佳地，所述的密钥生成方法，其中，所述信息获取请求用于指示第二服务器根据已保存的第三会话密钥生成所述第一会话密钥。

较佳地，所述的密钥生成方法，其中，所述第一业务请求还包括所述终端的终端类型、业务事务标识和密钥生成相关参数中的至少之一。

较佳地，所述的密钥生成方法，其中，所述密钥生成相关参数包括所述第一服务器的FQDN、随机数以及数据传输方向中的至少之一。

较佳地，所述的密钥生成方法，其中，根据所述第一会话密钥和所述终端标识，为所述终端生成相应的第一终端会话密钥，包括：

本申请实施例还提供一种终端设备，其中，所述终端设备为第一设备，包括处理器和收发机，其中：

所述处理器，配置为在执行与网络侧设备的身份认证后，生成第一会话密钥，并根据所述第一会话密钥为连接所述第一设备的至少一终端生成对应的第一终端会话密钥；

所述收发机，配置为向第一服务器发送第一业务请求，其中所述第一业务请求中包括所述终端的终端标识。

较佳地，所述的终端设备，其中，所述处理器生成第一会话密钥，具体为：

较佳地，所述的终端设备，其中，所述处理器生成第一会话密钥包括：

根据所述第三会话密钥，生成所述第一会话密钥。

较佳地，所述的终端设备，其中，在所述处理器生成第三会话密钥之后，所述收发机还用于：

向第二服务器发送包含业务事务标识的第二业务请求；

接收所述第二服务器返回的响应。

较佳地，所述的终端设备，其中，所述第二业务请求用于指示所述第二服务器向网络侧设备获取第三会话密钥，第三会话密钥是由网络侧设备在与第一设备身份认证后根据第二会话密钥生成的。

较佳地，所述的终端设备，其中，所述处理器根据所述第一会话密钥为连接所述第一设备的至少一终端生成对应的第一终端会话密钥，包括：

较佳地，所述的终端设备，其中，所述第一业务请求中还包括所述终端的终端类型、业务事务标识和密钥生成相关参数中的至少之一。

较佳地，所述的终端设备，其中，所述密钥生成相关参数包括所述第一服务器的全限定域名FQDN、随机数以及数据传输方向中的至少之一。

本申请实施例还提供一种服务器，其中，所述服务器为第一服务器，包括收发机和处理器，其中：

所述收发机，配置为接收第一设备发送的第一业务请求，所述第一业务请求中包括连接所述第一设备的至少一终端的终端标识；

所述处理器，配置为根据所述终端标识为所述终端生成相应的第一终端会话密钥。

较佳地，所述的服务器，其中，所述处理器根据所述终端标识为所述终端生成相应的第一终端会话密钥，包括：

向网络侧设备请求获取第一会话密钥；

向第二服务器发送信息获取请求；

接收所述第二服务器返回的第一会话密钥；

较佳地，所述的服务器，其中，所述信息获取请求用于指示第二服务器根据已保存的第三会话密钥生成所述第一会话密钥。

较佳地，所述的服务器，其中，所述第一业务请求还包括所述终端的终端类型、业务事务标识和密钥生成相关参数中的至少之一。

较佳地，所述的服务器，其中，所述密钥生成相关参数包括所述第一服务器的FQDN、随机数以及数据传输方向中的至少之一。

较佳地，所述的服务器，其中，所述处理器根据所述第一会话密钥和所述终端标识，为所述终端生成相应的第一终端会话密钥，具体为：

本申请实施例还提供一种密钥生成装置，其中，应用于第一设备，其中，所述装置包括：

第一生成模块，配置为在执行与网络侧设备的身份认证后，生成第一会话密钥，并根据所述第一会话密钥为连接所述第一设备的至少一终端生成对应的第一终端会话密钥；

请求发送模块，配置为向第一服务器发送第一业务请求，其中所述第一业务请求中包括所述终端的终端标识。

本申请实施例还提供一种密钥生成装置，其中，应用于第一服务器，其中，所述装置包括：

请求接收模块，配置为接收第一设备发送的第一业务请求，所述第一业务请求中包括连接所述第一设备的至少一终端的终端标识；

第二生成模块，配置为根据所述终端标识为所述终端生成相应的第一终端会话密钥。

本申请实施例还提供一种网络设备，其中，包括：处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序，所述程序被所述处理器执行时实现如上任一项所述的密钥生成方法。

本申请实施例还提供一种可读存储介质，其中，所述可读存储介质上存储有程序，所述程序被处理器执行时实现如上任一项所述的密钥生成方法中的步骤。

本申请上述技术方案中的至少一个具有以下有益效果：

采用本申请实施例所述密钥生成方法，通过为连接第一设备的终端生成对应的终端会话密钥，不同终端可以生成不同的终端会话密钥，从而建立不同的安全通道，实现不同终端之间数据的安全隔离，提高终端及全系统数据传输的安全性。

附图说明

图1为采用本申请实施例所述密钥生成方法的其中一系统结构示意图；

图2为采用本申请实施例所述密钥生成方法的系统框架图之一；

图3为本申请实施例其中一实施方式所述密钥生成方法的流程示意图；

图4为采用本申请实施例所述方法的系统执行流程示意图之一；

图5为本申请实施例所述方法中，密钥生成过程示意图之一；

图6为采用本申请实施例所述密钥生成方法的系统框架图之二；

图7为采用本申请实施例所述方法的系统执行流程示意图之二；

图8为本申请实施例所述方法中，密钥生成过程示意图之二；

图9为本申请实施例另一实施方式所述密钥生成方法的流程示意图；

图10为本申请实施例所述终端设备的结构示意图；

图11为本申请实施例所述服务器的结构示意图；

图12为本申请其中一实施例所述密钥生成装置的结构示意图；

图13为本申请另一实施例所述密钥生成装置的结构示意图。

具体实施方式

为使本申请要解决的技术问题、技术方案和优点更加清楚，下面将结合附图及具体实施例进行详细描述。

为解决现有技术移动接入网关与应用服务器之间的安全通道唯一，易遭受安全攻击，系统存在严重安全风险的问题，本申请实施例提供一种密钥生成方法，通过为连接第一设备的终端生成对应的终端会话密钥，使第一设备与应用服务器之间通过该终端会话密钥对终端的上下行数据进行加密/解密处理，以实现不同终端之间数据的安全隔离，实现终端数据细粒度安全认证及安全隔离，提高终端及全系统数据传输的安全性。

图1为采用本申请实施例所述密钥生成方法的系统结构示意图。参阅图1所示，采用本申请实施例所述方法的系统包括至少一终端10、第一设备20、网络侧设备30和第一服务器40。

可选地，终端10可以为普通终端，也可以为物联网终端、车联网终端和行业终端中的至少之一，如可以包括传感器、视频处理器和定位装置等；或者终端10可以为电子设备上运行的每一底层应用。

可选地，第一服务器40可以为网络侧的NAF，用于使物联网/行业应用服务器50从运营商网络获取与终端10之间上下行数据的会话秘钥。

第一设备20可以为任一具有移动无线网关功能的设备，例如可以为WiFi设备，例如，该第一设备20可以为安全接入网关，或者称为支连宝。一方面通过4G/5G Uu接口无线信号接入蜂窝网络；另一方面能够具备近距离无线组网能力，能够为不支持(U)SIM卡、不支持4G/5G网络接入的终端10提供信号覆盖，使该终端具备访问网络云端数据应用的能力；另一实施方式，可选地，第一设备20也可以为普通网络终端，如手机、掌上电脑等。在应用于普通网络终端时，第一设备20本地运行的每一个应用可视为图1中的一个底层的终端10。

具体地，第一设备20可以作为网络终端接入运营商蜂窝网络并访问第一服务器40。本申请实施例中，可选地，在第一设备20与运营商网络(如为蜂窝网络)完成双向身份认证并协商会话密钥，物联网/行业应用服务器50利用运营商网络的第一服务器40提供的会话密钥与第一设备20建立端到端的安全传输通道。采用该实施方式，第一设备20可以通过该安全传输通道将底层的终端10的上下行数据安全地传输至物联网/行业应用服务器50。

本申请实施例中，可选地，第一设备20与运营商网络基于通用认证机制(General Bootstrapping Architecture，GBA)安全机制完成双向身份认证并协商会话密钥，物联网/行业应用服务器50与第一设备20之间建立端到端的GBA安全传输通道。

为清楚说明本申请实施例所述密钥生成方法的具体实施过程，以下将以第一设备20与运营商网络基于GBA安全机制进行双向身份认证为例，对本申请实施例所述方法进行详细说明，但本申请实施例所述密钥生成方法并不限于仅能够应用于GBA安全认证机制。

具体地，结合图1和图2，GBA组网架构中，以演进分组核心(Evolved Packet Core，EPC)网络为例，运营商网络除包括基站外，还包括引导服务功能(Bootstrapping Server Function，BSF)单元和归属用户服务器(HomeSubscriberServer，HSS)。其中，BSF作为整个GBA架构中的锚点，用于从HSS获取鉴权向量进而完成对用户终端的验证，同时用于根据运营商提供的中间密钥推衍会话密钥。GBA中另一个重要的网元是NAF(可以对应为本申请实施例中的第一服务器40)，即应用服务器(NAF，Network Application Function)，用于实现第三方应用服务(对应本申请实施例中的物联网/行业应用服务器50)从运营商网络获取会话秘钥。

以下结合图1和图2，对本申请实施例所述密钥生成方法进行详细说明。本申请其中一实施例所述密钥生成方法，应用于第一设备，如图3所示，所述方法包括：

S310，在执行与网络侧设备的身份认证后，生成第一会话密钥，并根据所述第一会话密钥为连接所述第一设备的至少一终端生成对应的第一终端会话密钥；

S320，向第一服务器发送第一业务请求，其中所述第一业务请求中包括所述终端的终端标识。

相较于现有技术，第一设备与第一服务器之间建立唯一安全通道，通过第一设备传输至物联网/行业应用服务器的多个终端的数据混合后通过该安全通道传输，造成不同终端的数据无法实现安全隔离，存在安全风险的问题，采用本申请实施例所述密钥生成方法，通过为连接第一设备的终端生成对应的终端会话密钥，不同终端可以生成不同的终端会话密钥，从而建立不同的安全通道，实现不同终端之间数据的安全隔离，提高终端及全系统数据传输的安全性。

本申请实施例中，结合图1和图2，以及以上中的描述，可选地，在步骤S310中，所述终端可以为普通终端，也可以为物联网终端、车联网终端和行业终端中的至少之一，如可以包括传感器、视频处理器和定位装置等；或者终端可以为电子设备上运行的每一底层应用；所述第一设备可以为任一具有移动无线网关功能的设备；或者，第一设备也可以为普通网络终端，在应用于普通网络终端时，第一设备本地运行的每一个应用可视为步骤S310中的一个终端，其中，在第一设备为普通网络终端时，采用本申请实施例所述密钥生成方法，该第一设备可以将应用的应用标识代替底层终端标识发送至第一服务器(应用服务器NAF)，用于生成终端会话密钥，从而为每一个应用建立起到应用服务器NAF的独立安全通信通道，实现细粒度的安全通信。

以GBA安全认证为例，本申请实施例中，在步骤S310，其中一实施方式，第一设备在与网络侧设备的身份认证过程生成第一会话密钥，如为GBA会话密钥Ks_NAF，根据该GBA会话密钥Ks_NAF，第一设备与第一服务器为相应的终端生成对应的第一终端会话密钥，如为GBA终端会话密钥Ks_NAF_T，进而基于该GBA终端会话密钥Ks_NAF_T可以对相应终端的上下行数据进行加密/解密处理，实现不同底层终端间数据的安全隔离。

另外，对于不同的终端，第一设备为不同终端生成不同的第一终端会话密钥，如对应终端n所生成的GBA终端会话密钥(第一终端会话密钥)可以表示为Ks_NAF_Tn，可选地，GBA终端会话密钥Ks_NAF_Tn为对称密钥，由第一服务器或物联网/行业应用服务器与第一设备共享使用。采用该实施方式，在第一设备处，第一设备所连接的每一终端都具有独立的GBA安全通信通道，用于对每一终端的上下行数据进行安全保护。

本申请实施例中，可选地，在步骤S310，结合图2，第一设备与BSF单元执行身份认证，生成第一会话密钥；在步骤S320，第一服务器为NAF，第一设备向NAF发送第一业务请求，第一业务请求中包括终端的终端标识，NAF根据不同终端的终端标识，为相应的终端生成对应的第一终端会话密钥。

以进行GBA安全认证为例，本申请实施例中，可选地，第一服务器为NAF，网络侧设备包括BSF和HSS，GBA安全认证的实现流程主要包括初始化、引导和安全关联三个阶段。其中，初始化阶段用于第一设备与NAF互相确认使用GBA来进行认证；引导阶段则是完成GBA认证和会话密钥产生的实质阶段；而安全关联阶段用于NAF向运营商的网络侧设备获取会话密钥阶段。

其中一实施方式，采用本申请实施例所述密钥生成方法的具体实施方式，可以参阅图4所示，在初始化阶段，包括步骤：

S401，第一设备向NAF发送业务请求；其中，在第一设备首次访问时发送该业务请求；

S402，NAF向第一设备发送业务请求的应答消息，指示终端发起GBA认知过程。

在引导阶段，由第一设备与BSF交互；通过该阶段，第一设备、BSF完成了双向验证、生成了针对第一设备的引导交易标识B-TID，且第一设备、BSF分别推衍出了GBA会话中间密钥Ks(本申请实施例中可以称为第二会话密钥)；BSF侧推衍Ks依靠用户的(Aauthentication vector，AV)，若BSF未存储该用户的鉴权向量AV，则通过Zh参考点向HSS获取；B-TID是BSF为第一设备分配的一个临时身份，与用户的手机号码、国际移动用户识别码(International Mobile Subscriber Identity，IMSI)等并无关联，因此，能够对NAF保持用户身份的匿名性。

可选地，结合图4所示，在引导阶段，本申请实施例所述密钥生成方法可以包括步骤：

S403，第一设备向BSF发送业务请求；可选地，该业务请求中包括第一设备的用户标识；

S404，BSF根据该用户标识向HSS发送认证向量获取请求；

S405，HSS响应该认证向量获取请求，向BSF发送应答消息，该应答消息中包括该第一设备的鉴权向量；

S406，BSF向第一设备发送业务请求的应答消息，指示第一设备可以进行GBA认证，可选地，该应答消息中包括随机数RAND和认证AUTH信息；

S407，第一设备进行认证，如执行认证与密钥协商协议(Authentication and Key Agreemen，AKA)认证，校验AUTH，生成RES；

S408，第一设备向BSF发送认证请求，该认证请求中包括所生成的RES；

S409，BSF执行RES校验，生成第二会话密钥K _S；

S410，BSF向第一设备发送认证请求的应答消息；其中，该应答消息中包括引导交易标识B-TID和密钥生存时间Key lifetime；

S411，第一设备根据该B-TID和Key lifetime，生成第二会话密钥K _S。

采用上述的密钥生成过程中的引导阶段，第一设备与BSF均生成第二会话密钥K _S。

进一步地，在基于GBA流程执行初始化阶段和引导阶段之后，第一设备可以基于上述引导阶段生成的第二会话密钥K _S，生成第一会话密钥Ks_NAF，并为与第一设备相连接的每一终端生成第一终端会话密钥Ks_NAF_T，并执行GBA流程的安全关联阶段。

具体地，结合图4所示，在安全关联阶段，本申请实施例所述密钥生成方法可以包括步骤：

S412，第一设备生成第一会话密钥Ks_NAF；该实施方式中，第一设备根据与BSF的身份认证过程中生成的第二会话密钥K _S，生成第一会话密钥Ks_NAF；

此外，第一设备还根据第一会话密钥Ks_NAF，以及所对应终端的终端标识和/或终端类型，采用预设密钥生成算法，如基于SHA3、SM3散列算法的密钥生成函数HMAC-SHA3、HMAC-SM3等生成第一终端会话密钥Ks_NAF_T。

可选地，在GBA_ME方式下，第一会话密钥为Ks_NAF；在GBA_U方式下，第一会话密钥为Ks_int_NAF。

另外，终端标识是通过第一设备(安全接入网关)接入的底层终端的唯一标识，如可以包括终端的序列号、MAC地址和终端的业务编号等的至少之一；终端类型用于表示终端业务应用的类型，比如物联网IoT终端，V2X车联网终端等，该项参数可选。

可选地，第一设备还可以根据其他可选参数生成生成第一终端会话密钥Ks_NAF_T，该可选参数包括NAF的全限定域名(Fully Qualified Domain Name，FQDN)、随机数和数据上/下行方向等。

S413，第一设备向NAF发送第一业务请求；本申请实施例中，该第一业务请求包括终端标识、终端类型、业务事务标识和密钥生成相关参数中的至少之一；可选地，该业务事务标识包括并不限于能够包括B-TID；该第一设备通过发送包括终端类型、业务事务标识和密钥生成相关参数的信息发送至NAF，将所有终端的终端标识和参与密钥生成的相关参数发送至NAF；

S414，NAF向BSF(第二服务器)发送信息获取请求；可选地，该信息获取请求包括业务事务标识和/或NAF的设备信息NAF-ID；

S415，BSF根据步骤S409生成的第二会话密钥K _S和经过步骤S414获得的业务事务标识和/或NAF的设备信息NAF-ID，生成第一会话密钥Ks_NAF，并向NAF返回应答消息，该应答消息中包括该第一会话密钥Ks_NAF和密钥生存时间Key lifetime；

S416，NAF网元根据所获得的第一会话密钥Ks_NAF以及根据步骤S413获得的终端标识和/或终端类型，采用预设密钥生成算法，如基于SHA3、SM3散列算法的密钥生成函数HMAC-SHA3、HMAC-SM3等生成第一终端会话密钥Ks_NAF_T。可选地，NAF采用该预设密钥生成算法，根据第一会话密钥Ks_NAF和终端标识，为每一终端生成相应的第一终端会话密钥Ks_NAF_T；

S417，NAF网元向第一设备反馈成功应答消息。

采用上述实施方式所述密钥生成方法，GBA安全认证流程执行完毕后，第一设备可基于第一终端会话密钥Ks_NAF_T与NAF网元为每一个终端建立起专用的安全通信通道，实现数据源认证、加密和安全隔离。

此外，结合图4和图5所示，采用本申请实施例所述密钥生成方法，密钥生成过程可以为GBA认证标准过程，第一设备与网络侧设备生成第一会话密钥Ks_NAF，其中第一设备基于所生成的第一会话密钥Ks_NAF为每一终端生成相应的第一终端会话密钥Ks_NAF_T，NAS网元基于网络侧设备生成的第一会话密钥Ks_NAF为每一终端生成相应的第一终端会话密钥Ks_NAF_T，形成为对称密钥，实现第一设备与NAF或物联网/行业应用服务器之间共享使用，保证在第一设备处，每一终端都具有独立的安全通信通道，以能够对终端的上下行数据进行安全保护。

因此，本申请实施例中，在步骤S310，生成第一会话密钥包括：

根据与网络侧设备的身份认证过程中生成的第二会话密钥K _S，生成所述第一会话密钥Ks_NAF。

可选地，在步骤S310，根据所述第一会话密钥为连接所述第一设备的至少一终端生成对应的第一终端会话密钥，包括：

根据所述第一会话密钥Ks_NAF、每一所述终端的终端标识、每一所述终端的终端类型、第一服务器的全限定域名(Fully Qualified Domain Name，FQDN)、随机数、数据传输方向中的至少之一，采用预设密钥生成算法，生成对应每一所述终端的第一终端会话密钥。

可选地，在步骤S320，所述第一业务请求中还包括所述终端的终端类型、业务事务标识和密钥生成相关参数中的至少之一。

可选地，所述密钥生成相关参数包括所述第一服务器的FQDN、随机数以及数据传输方向中的至少之一

本申请实施例所述密钥生成方法的另一实施方式，与上一实施方式不同，该实施方式中，采用GBA增强认证，用于实现NAF网元的复用，使一个NAF网元能够同时为多个应用服务器服务，解决3GPP标准GBA方案中每一个应用服务器均需要配备一个专用NAF网元的问题，降低运营商推广应用网络GBA安全能力成本。

结合图6采用GBA增强认证的系统结构示意图，GBA业务平台的NAF网元还与服务提供方的另一NAF网元连接，如记为NAF’。可选地，NAF网元可以与多个NAF’连接。

可选地，在GBA增强认证系统中，在GBA标准认证的GBA会话密钥Ks_NAF的基础上进一步生成了GBA应用层会话密钥Ks_NAF’，使4G/5G终端UE能够通过同一NAF网元与多个应用服务器建立独立的安全连接。

相较于GBA标准认证的过程，除包括初始化、引导和安全关联三个阶段之外，GBA增强认证过程中还包括“应用安全关联”阶段的操作，作用在于使第一设备触发应用服务器(包含NAF’功能)向NAF网元发起请求，获取NAF为该业务应用生成的专用GBA应用层会话密钥Ks_NAF’，这样第一终端和应用服务器就能够使用共享的Ks_NAF’进行安全通信。

具体地，应用安全关联阶段的交互由第一设备和应用服务器(NAF’网元)通过网络之上(Over the Top，OTT)方式在应用层上进行，仅需要运营商部署的NAF网元开通接口对外提供密码应用服务即可，因此对标准GBA三阶段操作没有任何修改和影响，容易实现。采用该实施方式，基于NAF网元或应用服务器与第一设备间共享的GBA应用层会话密钥Ks_NAF’，NAF网元或应用服务器与第一设备可为每一个底层终端生成GBA终端会话密钥Ks_NAF_T(第一终端会话密钥)，具体如下：

NAF网元或第一设备根据GBA应用层会话密钥Ks_NAF’(也即为第一会话密钥Ks_NAF’，以及所对应终端的终端标识和/或终端类型，采用预设密钥生成算法，生成第一终端会话密钥Ks_NAF_T。该实施方式，用于生成第一终端会话密钥Ks_NAF_T的基础密钥变更为GBA应用层会话密钥Ks_NAF’，其他参数与GBA标准认证过程相同。

同样地，在增强GBA安全机制的处理过程中，第一设备需要在发送给NAF网元或应用服务器的消息中增加新的信息内容，用于将通过第一设备接入的所有底层终端标识信息和参与密钥生成的可选参数信息发送至网络侧NAF网元或应用服务器。NAF网元和应用服务器具体选择谁取决于所选用的增强GBA安全方案。

在收到上述信息后，NAF网元或应用服务器根据上述密钥生成计算方法为每一个底层终端生成相对应的GBA终端会话密钥Ks_NAF_T，用于第一设备建立独立的端到端安全通信通道。

以下结合图7所示，对本申请实施例所述密钥生成方法的具体过程进行说明。

其中，该实施方式中，初始化阶段和引导阶段的具体过程与图4实施方式相同，具体包括以下步骤：

S701，第一设备向NAF发送业务请求；其中，在第一设备首次访问时发送该业务请求；

S702，NAF向第一设备发送业务请求的应答消息，指示终端发起GBA认知过程；

S703，第一设备向BSF发送业务请求；可选地，该业务请求中包括第一设备的用户标识；

S704，BSF根据该用户标识向HSS认证向量获取请求；

S705，HSS响应该认证向量获取请求，向BSF发送应答消息，该应答消息中包括该第一设备的鉴权向量；

S706，BSF向第一设备发送业务请求的应答消息，指示第一设备可以进行GBA认证，可选地，该应答消息中包括随机数RAND和认证AUTH信息；

S707，第一设备进行认证，如执行认证与密钥协商协议(Authentication and Key Agreemen，AKA)认证，校验AUTH，生成RES；

S708，第一设备向BSF发送认证请求，该认证请求中包括所生成的RES；

S709，BSF执行RES校验，生成第二会话密钥K _S；

S710，BSF向第一设备发送认证请求的应答消息；其中，该应答消息中包括引导交易标识B-TID和密钥生存时间Key lifetime；

S711，第一设备根据该B-TID和Key lifetime，生成第二会话密钥K _S。

进一步地，在基于GBA流程执行初始化阶段和引导阶段之后，第一设备生成第一会话密钥Ks_NAF’包括：

根据与网络侧设备的身份认证过程中的生成的第二会话密钥K _S，生成第三会话密钥Ks_NAF；

根据第三会话密钥Ks_NAF，生成第一会话密钥Ks_NAF’。

该实施方式中，根据采用上述实施方式生成的第一会话密钥Ks_NAF’，第一设备为连接第一设备的至少一终端生成对应的第一终端会话密钥Ks_NAF_T。

本申请实施例的该实施方式中，在引导阶段之后还包括安全关联阶段，第一设备和BSF分别生成第三会话密钥Ks_NAF，具体地，该安全关联阶段包括以下步骤：

S712，第一设备生成第三会话密钥Ks_NAF；该实施方式中，第一设备根据与BSF的身份认证过程中生成的第二会话密钥K _S，生成第三会话密钥Ks_NAF；

S713，第一设备向NAF网元(第二服务器)发送第二业务请求；可选地，该第二业务请求中包括业务事务标识，该业务事物标识可以包括B-TID，用于指示该NAF网元向网络侧设备获取第三会话密钥KS-NAF；

S714，NAF网元向BSF(第二服务器)发送信息获取请求；可选地，该信息获取请求包括业务事务标识B-TID和/或NAF的设备信息NAF-ID；

S715，BSF根据步骤S709生成的第二会话密钥K _S和经过步骤S714获得的业务事务标识和/或NAF的设备信息NAF-ID，生成第三会话密钥Ks_NAF，并向NAF返回应答消息，该应答消息中包括该第三会话密钥Ks_NAF和密钥生存时间Key lifetime；

S716，NAF网元保存该第三会话密钥Ks_NAF；

S717，NAF网元向第一设备反馈成功应答消息。

本申请实施例该实施方式中，通过上述的安全关联阶段，第一设备和BSF分别生成第三会话密钥Ks_NAF，进一步地，该实施方式还包括应用安全关联阶段，第一设备和BSF分别生成第一终端会话密钥Ks_NAF_T，具体地，该应用安全关联阶段包括以下的步骤：

S718，第一设备根据第三会话密钥Ks_NAF，生成第一会话密钥Ks_NAF’，并根据第一会话密钥Ks_NAF，以及所对应终端的终端标识和/或终端类型，采用预设密钥生成算法，如基于SHA3、SM3散列算法的密钥生成函数HMAC-SHA3、HMAC-SM3等生成第一终端会话密钥Ks_NAF_T；

其中，终端标识是通过第一设备(安全接入网关)接入的底层终端的唯一标识，如可以包括终端的序列号、MAC地址和终端的业务编号等的至少之一；终端类型用于表示终端业务应用的类型，比如物联网IoT终端，V2X车联网终端等，该项参数可选。

可选地，第一设备还可以根据其他可选参数生成生成第一终端会话密钥Ks_NAF_T，该可选参数包括NAF的全限定域名(Fully Qualified Domain Name，FQDN)、随机数和数据上/下行方向等；

S719，第一设备向应用服务器NAF’网元发送第一业务请求；本申请实施例中，该第一业务请求包括终端标识、终端类型、业务事务标识、应用服务器NAF’网元的设备标识和密钥生成相关参数中的至少之一；可选地，该业务事务标识包括并不限于能够包括B-TID；该第一设备通过发送包括终端类型、业务事务标识和密钥生成相关参数的信息发送至NAF，将所有终端的终端标识和参与密钥生成的相关参数发送至应用服务器NAF’；

S720，应用服务器NAF’网元向NAF网元发送信息获取请求；可选地，该信息获取请求包括NAF’网元的设备标识和B-TID；

S721，NAF网元根据所接收的该NAF’网元的设备标识和B-TID，生成第一会话密钥Ks_NAF’；

S722，NAF网元向NAF’网元发送应答消息；可选地，该应答消息包括该第一会话密钥Ks_NAF’、密钥生存时间Key lifetime和用户信息；

S723，NAF’网元根据所接收的第一会话密钥Ks_NAF’以及结合步骤S719获取的终端标识和/或终端类型，采用预设密钥生成算法，如基于SHA3、SM3散列算法的密钥生成函数HMAC-SHA3、HMAC-SM3等生成第一终端会话密钥Ks_NAF_T。可选地，NAF采用该预设密钥生成算法，根据第一会话密钥Ks_NAF’和终端标识，为每一终端生成相应的第一终端会话密钥Ks_NAF_T；

S724，NAF’网元向第一设备反馈成功应答消息。

采用上述实施方式所述密钥生成方法，GBA安全认证流程执行完毕后，第一设备可基于第一终端会话密钥Ks_NAF_T与NAF’网元为每一个终端建立起专用的安全通信通道，实现数据源认证、加密和安全隔离。

此外，结合图7和图8所示，采用本申请实施例所述密钥生成方法，密钥生成过程可以为增强GBA认证过程，第一设备与网络侧设备生成第三会话密钥Ks_NAF，在此基础上，根据所生成的第三会话密钥Ks_NAF，第一设备与NAS网元生成第一会话密钥Ks_NAF’，并根据所生成的第一会话密钥Ks_NAF’为每一终端生成相应的第一终端会话密钥Ks_NAF_T，形成为对称密钥，实现第一设备与NAF或物联网/行业应用服务器之间共享使用，保证在第一设备处，每一终端都具有独立的安全通信通道，以能够对终端的上下行数据进行安全保护。

采用本申请实施例所述密钥生成方法，通过为连接第一设备的终端生成对应的终端会话密钥，使第一设备与应用服务器之间通过该终端会话密钥对终端的上下行数据进行加密/解密处理，以实现不同终端之间数据的安全隔离，实现终端数据细粒度安全认证及安全隔离，提高终端及全系统数据传输的安全性。

本申请实施例还提供另一实施方式的密钥生成方法，应用于第一服务器，如图9所示，所述方法包括：

S910，接收第一设备发送的第一业务请求，所述第一业务请求中包括连接所述第一设备的至少一终端的终端标识；

S920，根据所述终端标识为所述终端生成相应的第一终端会话密钥。

本申请实施例中，可选地，第一设备为任一具有移动无线网关功能的设备，例如可以为WiFi设备；或者，可选地，第一设备也可以为普通网络终端，如手机、掌上电脑等。

可选地，第一服务器可以为网络侧的NAF网元，用于使物联网/行业应用服务器从运营商网络获取与终端之间上下行数据的会话秘钥；或者，第一服务器可以为外部的应用服务器，如为NAF’网元。

本申请实施例中，可选地，在步骤S920，所述根据所述终端标识为所述终端生成相应的第一终端会话密钥，包括：

向网络侧设备请求获取第一会话密钥；

具体地，该实施方式可以结合图4，并参阅以上本申请实施例所述密钥生成方法应用于第一设备的详细说明，在此不再赘述。

可选地，所述的密钥生成方法，其中，在步骤S920，根据所述终端标识为所述终端生成相应的第一终端会话密钥，包括：

向第二服务器发送信息获取请求；

接收所述第二服务器返回的第一会话密钥；

具体地，该实施方式可以结合图7，并参阅以上本申请实施例所述密钥生成方法应用于第一设备的详细说明，在此不再赘述。

可选地，所述信息获取请求用于指示第二服务器根据已保存的第三会话密钥生成所述第一会话密钥。

本申请实施例中，可选地，所述第一业务请求还包括所述终端的终端类型、业务事务标识和密钥生成相关参数中的至少之一。

可选地，所述密钥生成相关参数包括所述第一服务器的FQDN、随机数以及数据传输方向中的至少之一。

可选地，所述的密钥生成方法，其中，根据所述第一会话密钥和所述终端标识，为所述终端生成相应的第一终端会话密钥，包括：

需要说明的是，本申请实施例所述密钥生成方法，应用于第一服务器时的具体实施过程，可以参阅应用于第一设备时所述方法的具体实施过程，在此不再详细说明。

本申请其中一实施例还提供一种终端设备，如图10所示，该终端设备1000包括处理器1010和收发机1020，其中：

所述处理器1010配置为，在执行与网络侧设备的身份认证后，生成第一会话密钥，并根据所述第一会话密钥为连接所述第一设备的至少一终端生成对应的第一终端会话密钥；

所述收发机1020配置为，向第一服务器发送第一业务请求，其中所述第一业务请求中包括所述终端的终端标识。

可选地，所述的终端设备，其中，所述处理器1010生成第一会话密钥，具体为：

可选地，所述的终端设备，其中，所述处理器1010生成第一会话密钥包括：

根据所述第三会话密钥，生成所述第一会话密钥。

可选地，所述的终端设备，其中，在所述处理器1010生成第三会话密钥之后，所述收发机1020还配置为：

向第二服务器发送包含业务事务标识的第二业务请求；

接收所述第二服务器返回的响应。

可选地，所述的终端设备，其中，所述第二业务请求用于指示所述第二服务器向网络侧设备获取第三会话密钥，第三会话密钥是由网络侧设备在与第一设备身份认证后根据第二会话密钥生成的。

可选地，所述的终端设备，其中，所述处理器1010根据所述第一会话密钥为连接所述第一设备的至少一终端生成对应的第一终端会话密钥，包括：

可选地，所述的终端设备，其中，所述第一业务请求中还包括所述终端的终端类型、业务事务标识和密钥生成相关参数中的至少之一。

可选地，所述的终端设备，其中，所述密钥生成相关参数包括所述第一服务器的全限定域名FQDN、随机数以及数据传输方向中的至少之一。

本申请实施例还提供一种服务器，如图11所示，该服务器1100包括收发机1110和处理器1120，其中：

所述收发机1110配置为，接收第一设备发送的第一业务请求，所述第一业务请求中包括连接所述第一设备的至少一终端的终端标识；

所述处理器1120配置为，根据所述终端标识为所述终端生成相应的第一终端会话密钥。

可选地，所述的服务器，其中，所述处理器1120根据所述终端标识为所述终端生成相应的第一终端会话密钥，包括：

向网络侧设备请求获取第一会话密钥；

向第二服务器发送信息获取请求；

接收所述第二服务器返回的第一会话密钥；

可选地，所述的服务器，其中，所述信息获取请求用于指示第二服务器根据已保存的第三会话密钥生成所述第一会话密钥。

可选地，所述的服务器，其中，所述第一业务请求还包括所述终端的终端类型、业务事务标识和密钥生成相关参数中的至少之一。

可选地，所述的服务器，其中，所述密钥生成相关参数包括所述第一服务器的FQDN、随机数以及数据传输方向中的至少之一。

可选地，所述的服务器，其中，所述处理器1120根据所述第一会话密钥和所述终端标识，为所述终端生成相应的第一终端会话密钥，具体为：

本申请实施例还提供一种密钥生成装置，应用于第一设备，如图12所示，所述密钥生成装置1200包括：

第一生成模块1210，配置为在执行与网络侧设备的身份认证后，生成第一会话密钥，并根据所述第一会话密钥为连接所述第一设备的至少一终端生成对应的第一终端会话密钥；

请求发送模块1220，配置为向第一服务器发送第一业务请求，其中所述第一业务请求中包括所述终端的终端标识。

可选地，所述的密钥生成装置，其中，所述第一生成模块1210生成第一会话密钥包括：

根据所述第三会话密钥，生成所述第一会话密钥。

可选地，所述的密钥生成装置，其中，在第一生成模块1210生成第三会话密钥之后，还配置为：

向第二服务器发送包含业务事务标识的第二业务请求；

接收所述第二服务器返回的响应。

可选地，所述的密钥生成装置，其中，所述第二业务请求用于指示所述第二服务器向网络侧设备获取第三会话密钥，第三会话密钥是由网络侧设备在与第一设备身份认证后根据第二会话密钥生成的。

可选地，所述的密钥生成装置，其中，第一生成模块1210根据所述第一会话密钥为连接所述第一设备的至少一终端生成对应的第一终端会话密钥，包括：

可选地，所述的密钥生成装置，其中，所述第一业务请求中还包括所述终端的终端类型、业务事务标识和密钥生成相关参数中的至少之一。

可选地，所述的密钥生成装置，其中，所述密钥生成相关参数包括所述第一服务器的全限定域名FQDN、随机数以及数据传输方向中的至少之一。

本申请实施例还提供一种密钥生成装置，应用于第一服务器，如图13所示，所述密钥生成装置1300包括：

请求接收模块1310，配置为接收第一设备发送的第一业务请求，所述第一业务请求中包括连接所述第一设备的至少一终端的终端标识；

第二生成模块1320，配置为根据所述终端标识为所述终端生成相应的第一终端会话密钥。

可选地，所述的密钥生成装置，其中，所述第二生成模块1320根据所述终端标识为所述终端生成相应的第一终端会话密钥，包括：

向网络侧设备请求获取第一会话密钥；

可选地，所述的密钥生成装置，其中，第二生成模块1320根据所述终端标识为所述终端生成相应的第一终端会话密钥，包括：

向第二服务器发送信息获取请求；

接收所述第二服务器返回的第一会话密钥；

可选地，所述的密钥生成装置，其中，所述信息获取请求用于指示第二服务器根据已保存的第三会话密钥生成所述第一会话密钥。

可选地，所述的密钥生成装置，其中，所述第一业务请求还包括所述终端的终端类型、业务事务标识和密钥生成相关参数中的至少之一。

可选地，所述的密钥生成装置，其中，所述密钥生成相关参数包括所述第一服务器的FQDN、随机数以及数据传输方向中的至少之一。

可选地，所述的密钥生成装置，其中，第二生成模块1320根据所述第一会话密钥和所述终端标识，为所述终端生成相应的第一终端会话密钥，包括：

其中，该网络设备可从上述的第一设备或第一服务器，对应执行所述密钥生成方法的具体实施过程可以参阅以上的描述，在此不再详细说明。

另外，本申请具体实施例还提供一种计算机可读存储介质，其上存储有计算机程序，其中，该程序被处理器执行时实现如上中任一项所述的密钥生成方法中的步骤。

具体地，该计算机可读存储介质应用于上述的第一设备或第一服务器，在应用于第一设备或第一服务器时，对应密钥生成方法中的执行步骤如上的详细描述，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露方法和装置，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理包括，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

上述以软件功能单元的形式实现的集成的单元，可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中，包括若干指令用使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述收发方法的部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read-Only Memory，简称ROM)、随机存取存储器(Random Access Memory，简称RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述的是本发明的优选实施方式，应当指出对于本技术领域的普通人员来说，在不脱离本发明所述原理前提下，还可以作出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

Claims

一种密钥生成方法，应用于第一设备，所述方法包括：

在执行与网络侧设备的身份认证后，生成第一会话密钥，并根据所述第一会话密钥为连接所述第一设备的至少一终端生成对应的第一终端会话密钥；

向第一服务器发送第一业务请求，其中所述第一业务请求中包括所述终端的终端标识。
根据权利要求1所述的密钥生成方法，其中，所述生成第一会话密钥包括：

根据与网络侧设备的身份认证过程中生成的第二会话密钥，生成所述第一会话密钥。
根据权利要求1所述的密钥生成方法，其中，所述生成第一会话密钥包括：

根据与网络侧设备的身份认证过程中生成的第二会话密钥，生成第三会话密钥；

根据所述第三会话密钥，生成所述第一会话密钥。
根据权利要求3所述的密钥生成方法，其中，在生成第三会话密钥之后，所述方法还包括：

向第二服务器发送包含业务事务标识的第二业务请求；

接收所述第二服务器返回的响应。
根据权利要求4所述的密钥生成方法，其中，所述第二业务请求用于指示所述第二服务器向网络侧设备获取第三会话密钥，第三会话密钥是由网络侧设备在与第一设备身份认证后根据第二会话密钥生成的。
根据权利要求1所述的密钥生成方法，其中，根据所述第一会话密钥为连接所述第一设备的至少一终端生成对应的第一终端会话密钥，包括：

根据所述第一会话密钥、每一所述终端的终端标识、每一所述终端的终端类型、第一服务器的全限定域名FQDN、随机数、数据传输方向中的至少之一，采用预设密钥生成算法，生成对应每一所述终端的第一终端会话密钥。
根据权利要求1所述的密钥生成方法，其中，所述第一业务请求中还包括所述终端的终端类型、业务事务标识和密钥生成相关参数中的至少之一。
根据权利要求7所述的密钥生成方法，其中，所述密钥生成相关参数包括所述第一服务器的全限定域名FQDN、随机数以及数据传输方向中的至少之一。
一种密钥生成方法，应用于第一服务器，所述方法包括：

接收第一设备发送的第一业务请求，所述第一业务请求中包括连接所述第一设备的至少一终端的终端标识；

根据所述终端标识为所述终端生成相应的第一终端会话密钥。
根据权利要求9所述的密钥生成方法，其中，所述根据所述终端标识为所述终端生成相应的第一终端会话密钥，包括：

向网络侧设备请求获取第一会话密钥；

根据所述第一会话密钥和所述终端标识，为所述终端生成相应的第一终端会话密钥。
根据权利要求9所述的密钥生成方法，其中，根据所述终端标识为所述终端生成相应的第一终端会话密钥，包括：

向第二服务器发送信息获取请求；

接收所述第二服务器返回的第一会话密钥；

根据所述第一会话密钥和所述终端标识，为所述终端生成相应的第一终端会话密钥。
根据权利要求11所述的密钥生成方法，其中，所述信息获取请求用于指示第二服务器根据已保存的第三会话密钥生成所述第一会话密钥。
根据权利要求9所述的密钥生成方法，其中，所述第一业务请求还包括所述终端的终端类型、业务事务标识和密钥生成相关参数中的至少之一。
根据权利要求13所述的密钥生成方法，其中，所述密钥生成相关参数包括所述第一服务器的FQDN、随机数以及数据传输方向中的至少之一。
根据权利要求10或11所述的密钥生成方法，其中，根据所述第一会话密钥和所述终端标识，为所述终端生成相应的第一终端会话密钥，包括：

根据所述第一会话密钥、每一所述终端的终端标识、每一所述终端的终端类型、第一服务器的全限定域名FQDN、随机数、数据传输方向中的至少之一，采用预设密钥生成算法，生成对应每一所述终端的第一终端会话密钥。
一种终端设备，所述终端设备为第一设备，包括处理器和收发机；

所述处理器配置为，在执行与网络侧设备的身份认证后，生成第一会话密钥，并根据所述第一会话密钥为连接所述第一设备的至少一终端生成对应的第一终端会话密钥；

所述收发机配置为，向第一服务器发送第一业务请求，其中所述第一业务请求中包括所述终端的终端标识。
根据权利要求16所述的终端设备，其中，所述处理器生成第一会话密钥，具体为：

根据与网络侧设备的身份认证过程中生成的第二会话密钥，生成所述第一会话密钥。
根据权利要求16所述的终端设备，其中，所述处理器生成第一会话密钥包括：

根据与网络侧设备的身份认证过程中生成的第二会话密钥，生成第三会话密钥；

根据所述第三会话密钥，生成所述第一会话密钥。
根据权利要求18所述的终端设备，其中，在所述处理器生成第三会话密钥之后，所述收发机还配置为：

向第二服务器发送包含业务事务标识的第二业务请求；

接收所述第二服务器返回的响应。
根据权利要求19所述的终端设备，其中，所述第二业务请求用于指示所述第二服务器向网络侧设备获取第三会话密钥，第三会话密钥是由网络侧设备在与第一设备身份认证后根据第二会话密钥生成的。
根据权利要求16所述的终端设备，其中，所述处理器根据所述第一会话密钥为连接所述第一设备的至少一终端生成对应的第一终端会话密钥，包括：

根据所述第一会话密钥、每一所述终端的终端标识、每一所述终端的终端类型、第一服务器的全限定域名FQDN、随机数、数据传输方向中的至少之一，采用预设密钥生成算法，生成对应每一所述终端的第一终端会话密钥。
根据权利要求16所述的终端设备，其中，所述第一业务请求中还包括所述终端的终端类型、业务事务标识和密钥生成相关参数中的至少之一。
根据权利要求22所述的终端设备，其中，所述密钥生成相关参数包括所述第一服务器的全限定域名FQDN、随机数以及数据传输方向中的至少之一。
一种服务器，所述服务器为第一服务器，包括收发机和处理器；

所述收发机配置为，接收第一设备发送的第一业务请求，所述第一业务请求中包括连接所述第一设备的至少一终端的终端标识；

所述处理器配置为，根据所述终端标识为所述终端生成相应的第一终端会话密钥。
根据权利要求24所述的服务器，其中，所述处理器根据所述终端标识为所述终端生成相应的第一终端会话密钥，包括：

向网络侧设备请求获取第一会话密钥；

根据所述第一会话密钥和所述终端标识，为所述终端生成相应的第一终端会话密钥。
根据权利要求24所述的服务器，其中，所述处理器根据所述终端标识为所述终端生成相应的第一终端会话密钥，包括：

向第二服务器发送信息获取请求；

接收所述第二服务器返回的第一会话密钥；

根据所述第一会话密钥和所述终端标识，为所述终端生成相应的第一终端会话密钥。
根据权利要求26所述的服务器，其中，所述信息获取请求用于指示第二服务器根据已保存的第三会话密钥生成所述第一会话密钥。
根据权利要求24所述的服务器，其中，所述第一业务请求还包括所述终端的终端类型、业务事务标识和密钥生成相关参数中的至少之一。
根据权利要求28所述的服务器，其中，所述密钥生成相关参数包括所述第一服务器的FQDN、随机数以及数据传输方向中的至少之一。
根据权利要求25或26所述的服务器，其中，所述处理器根据所述第一会话密钥和所述终端标识，为所述终端生成相应的第一终端会话密钥，具体为：

根据所述第一会话密钥、每一所述终端的终端标识、每一所述终端的终端类型、第一服务器的全限定域名FQDN、随机数、数据传输方向中的至少之一，采用预设密钥生成算法，生成对应每一所述终端的第一终端会话密钥。
一种密钥生成装置，应用于第一设备，所述装置包括：

第一生成模块，配置为在执行与网络侧设备的身份认证后，生成第一会话密钥，并根据所述第一会话密钥为连接所述第一设备的至少一终端生成对应的第一终端会话密钥；

请求发送模块，配置为向第一服务器发送第一业务请求，其中所述第一业务请求中包括所述终端的终端标识。
一种密钥生成装置，应用于第一服务器，所述装置包括：

请求接收模块，配置为接收第一设备发送的第一业务请求，所述第一业务请求中包括连接所述第一设备的至少一终端的终端标识；

第二生成模块，配置为根据所述终端标识为所述终端生成相应的第一终端会话密钥。
一种网络设备，包括：处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序，所述程序被所述处理器执行时实现如权利要求1至8任一项所述的密钥生成方法，或者实现如权利要求9至15任一项所述的密钥生成方法。
一种可读存储介质，所述可读存储介质上存储有程序，所述程序被处理器执行时实现如权利要求1至8任一项所述的密钥生成方法中的步骤，或者实现如权利要求9至15任一项所述的密钥生成方法中的步骤。